SlideShare uma empresa Scribd logo
Todos os direitos de cópia reservados. Não é permitida a distribuição
física ou eletrônica deste material sem a permissão expressa do autor.
Interpretação da norma
NBR ISO/IEC 27001:2006
Curso e- Learning
Sistema de
Gestão de Segurança
da Informação
Módulo 6
Interpretação das cláusulas
4.2 a 4.3.3 da NBR ISO/IEC 27001:2005
Estrutura da Norma NBR ISO/IEC 27001:2006
Sistema de Gestão da SI
Melhoria Contínua
Responsabilidade da direção
Auditorias
internas
Melhoria do
SGSI
Análise crítica do SGSI
pela direção
Entradas Saídas
4
6
7
8
5
REQUISITOS
SEGURANÇADA
INFORMAÇÃO
4.2 – Estabelecendo e gerenciando o SGSI
4.2.3 – Monitorar e revisar o SGSI
A organização deve:
a) Executar procedimentos de monitoração, análise crítica e
outros controles para:
Prontamente detectar erros nos resultados de processamentos
Prontamente identificar tentativas e violações de segurança bem
sucedidas, e incidentes de segurança da informação
Permitir à direção determinar se as atividades de segurança da
informação delegadas a pessoas ou implementadas por meio de
tecnologias de informação são executadas conforme esperado
Ajudar a detectar eventos de segurança da informação e assim
prevenir incidentes pelo uso de indicadores
Determinar se as ações tomadas para solucionar uma violação
de segurança da informação foram eficazes.
b) Realizar análises críticas regulares da eficácia do SGSI
(incluindo o atendimento da política e dos objetivos do
SGSI, e a análise crítica de controles de segurança),
levando em consideração os resultados de auditorias de
segurança da informação, incidentes, resultados da eficácia
das medições, sugestões e realimentação de todas as
partes interessadas.
4.2 – Estabelecendo e gerenciando o SGSI
4.2.3 – Monitorar e revisar o SGSI
Exemplo de análise de dados utilizando o diagrama de Pareto:
Durante a realização do produto ou do serviço, podemos documentar as não-
conformidades identificadas (por tipo de NC, por exemplo) e construir uma tabela para
determinado período. Com estas informações poderemos construir o diagrama de
Pareto como você poderá observar no próximo slide.
4.2 – Estabelecendo e gerenciando o SGSI
4.2.3 – Monitorar e revisar o SGSI
O diagrama de Pareto é uma forma
visual para percebermos melhor o
impacto de cada problema no
processo, e decidir qual não-
conformidade vamos tratar, isto é,
pesquisar as possíveis causas desta
não- conformidade e definir ações para
eliminá-las, evitando sua repetição.
Exemplo de análise de dados utilizando o diagrama de Pareto:
4.2 – Estabelecendo e gerenciando o SGSI
4.2.3 – Monitorar e revisar o SGSI
A organização deve:
c) Medir a eficácia dos controles para verificar se os requisitos de SI estão sendo
atingidos.
d) Revisar as análises/avaliações de risco a intervalos planejados e analisar
criticamente os riscos residuais e os níveis de risco aceitáveis identificados,
levando em consideração mudanças relativas a:
1) Organização
2) Tecnologias
3) Objetivos e processos do negócio
4) Ameaças identificadas
5) Eficácia dos controles implementados
6) Eventos externos, tais como mudanças nos ambientes legais ou regulamentares,
alterações das obrigações contratuais e mudanças na conjuntura social
Sempre que uma mudança ocorre, poderemos ter alteração dos ativos,
das ameaças e das vulnerabilidades, e portanto dos riscos.
4.2 – Estabelecendo e gerenciando o SGSI
4.2.3 – Monitorar e revisar o SGSI
A organização deve:
e) Conduzir auditorias internas a intervalos planejados.
Existem auditorias de primeira parte (internas), de segunda parte
(realizadas pelos clientes na organização ou pela organização em seus
fornecedores) e de terceira parte (realizadas por organismos
independentes como por exemplo uma certificadora).
f) Realizar análises críticas do SGSI pela direção em períodos
regulares, para assegurar que o escopo permanece adequado e
que são identificadas melhorias nos processos do SGSI.
Estas análises críticas são reuniões com a direção onde diversos temas
são discutidos sobre o desempenho do sistema de gestão. A ISO
27001 especifica os temas mínimos a serem discutidos, e diz que como
saída deve haver um plano de ação definido.
g) Atualizar planos de segurança da informação para levar em
consideração os resultados das atividades de monitoramento e
análise crítica.
h) Registrar ações e eventos que poderiam ter impacto no
desempenho ou na eficácia do SGSI.
4.2 – Estabelecendo e gerenciando o SGSI/
4.2.4 – Manter e melhorar o SGSI
A organização deve regularmente:
a) Implementar as melhorias
identificadas para o SGSI.
b) Realizar ações corretivas e
preventivas apropriadas, e aplicar
lições aprendidas com a
experiência da própria
organização ou de outras.
c) Comunicar as ações e melhorias
para as partes interessadas com
um nível de detalhe apropriado às
circunstâncias e, se relevante,
obter a concordância sobre como
proceder.
d) Garantir que as melhorias atingem
os objetivos determinados.
Exercício
Indique se é verdadeiro ou falso:
1) ( ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os níveis
de risco aceitáveis devido a alterações na organização é um procedimento obrigatório.
2) ( ) As partes interessadas não necessitam ser obrigatoriamente informadas das
melhorias implementadas no SGSI.
3) ( ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente.
4) ( ) Indicadores não são uma boa maneira de prevenir incidentes de segurança.
5) ( ) Os planos de segurança da informação devem ser anualmente atualizados para
levar em consideração os resultados das atividades de monitoramento e análise crítica.
6) ( ) A organização deve identificar tentativas e violações de segurança bem sucedidas e
incidentes de segurança da informação quando da análise dos relatórios de
monitoramento.
7) ( ) Implementar programas de conscientização e treinamento é requisito obrigatório e
deve incluir todas as pessoas da organização.
8) ( ) Plano é um documento que diz o que será feito, porque, como, quando, por quem e
onde, também conhecido em inglês como 5W1H.
9) ( ) A organização precisa apenas implementar os controles selecionados para atender
aos objetivos de controle. Não é necessário que todos os controles indicados pela ISO
27001 sejam implementados.
Respostas
Indique se é verdadeiro ou falso:
1) ( V ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os
níveis de risco aceitáveis devido a alterações na organização é um procedimento
obrigatório.
2) ( F ) As partes interessadas não necessitam ser obrigatoriamente informadas das
melhorias implementadas no SGSI.
3) ( F ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente.
(devem ser realizadas a intervalos planejados)
4) ( F ) Indicadores não são uma boa maneira de prevenir incidentes de segurança.
(indicadores mostram as tendências, portanto orientam aumento ou redução de
ocorrências, o que permite ações para prevenir incidentes)
5) ( F ) Os planos de segurança da informação devem ser anualmente atualizados para
levar em consideração os resultados das atividades de monitoramento e análise
crítica. (devem ser atualizados sempre que necessário)
Respostas
6) ( F ) A organização deve identificar tentativas e violações de segurança bem sucedidas
e incidentes de segurança da informação quando da análise dos relatórios de
monitoramento. (a organização deve prontamente identificar tentativas de violação e
incidentes)
7) ( F ) Implementar programas de conscientização e treinamento é requisito obrigatório e
deve incluir todas as pessoas da organização. (deve incluir obrigatoriamente as
pessoas que têm responsabilidades atribuídas dentro do SGSI)
8) ( V ) Plano é um documento que diz o que será feito, porque, como, quando, por quem
e onde, também conhecido em inglês como 5W1H.
9) ( V ) A organização precisa apenas implementar os controles selecionados para
atender aos objetivos de controle. Não é necessário que todos os controles indicados
pela ISO 27001 sejam implementados. (mas na declaração de aplicabilidade deve ser
justificado quando um controle do Anexo A não for utilizado)
Estrutura da Norma NBR ISO/IEC 27001:2006
Sistema de Gestão da SI
Melhoria Contínua
Responsabilidade da direção
Auditorias
internas
Melhoria do
SGSI
Análise crítica do SGSI
pela direção
Entradas Saídas
4
6
7
8
5
REQUISITOS
SEGURANÇADA
INFORMAÇÃO
4.3 – Requisitos de documentação
4.3.1 – Geral
A documentação deve incluir registros de
decisões da direção, assegurar que as ações
sejam rastreáveis às políticas e decisões da
direção, e assegurar que os resultados
registrados sejam reproduzíveis.
As reuniões de análise crítica do sistema devem
ser documentadas e o monitoramento deve ser
registrado.
É importante que se possa demonstrar a relação
dos controles selecionados com os resultados da
análise/avaliação de riscos e do processo de
tratamento de riscos, e conseqüentemente com a
política e objetivos do SGSI.
Quando elaboramos a matriz de riscos já
podemos indicar os controles e procedimentos
relacionados. Isto facilita a demonstração dos
controles selecionados com os resultados da
análise/avaliação de riscos e do processo de
tratamento de riscos.
Extensão da documentação do SGSI
Abrangência e detalhes da
documentação depende de:
Tamanho e
tipo da
empresa
Complexidade
dos serviços,
produtos e
processos
Requisitos de
clientes e
regulamentaresCódigos e
normas da
indústria
Educação,
experiência e
treinamento
Estabilidade
da força de
trabalho
Problemas de
segurança no
passado
4.3 – Requisitos de documentação
4.3.1 – Geral
A documentação deve incluir:
a) Declarações documentadas das políticas e dos objetivos do SGSI
b) O escopo do SGSI
c) Procedimentos e controles que apóiam o SGSI
d) Uma descrição da metodologia de análise/avaliação de riscos
f) O relatório de análise/avaliação de riscos
g) O plano de tratamento de riscos
h) Procedimentos documentados requeridos pela organização para assegurar o
planejamento efetivo, a operação e o controle de seus processos de segurança da
informação, e para descrever como medir a eficácia dos controles
i) Registros requeridos pela norma
j) A declaração de aplicabilidade
A documentação deve variar devido ao tamanho da organização, tipo de atividades,
escopo e complexidade dos requisitos de segurança e do sistema gerenciado.
Quando a norma cita apenas a palavra “procedimento” significa que o procedimento
não precisa ser documentado. Se a norma disser “procedimento documentado”
significa que o procedimento realmente precisa ser documentado.
4.3 – Requisitos de documentação
4.3.2 – Controle de documentos
Os documentos requeridos pelo SGSI devem ser protegidos e
controlados. Um procedimento documentado deve ser
estabelecido para definir as ações de gestão necessárias para:
Aprovar documentos para adequação antes de sua emissão
Analisar criticamente e atualizar,quando necessário, e reaprovar documentos
Assegurar que as alterações e a situação da revisão atual dos documentos sejam
identificadas
Assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis
nos locais de uso
Assegurar que os documentos permaneçam legíveis e prontamente identificáveis
Assegurar que os documentos estejam disponíveis àqueles que deles precisam e
sejam transferidos, armazenados e finalmente descartados conforme os
procedimentos aplicáveis à sua classificação
Assegurar que documentos de origem externa sejam identificados
Assegurar que a distribuição de documentos seja controlada
Prevenir o uso não intencional de documentos obsoletos
Aplicar identificação adequada nos casos em que sejam retidos para qualquer
propósito
Exercício
Indique se é verdadeiro ou falso:
1 - ( ) Um documento obsoleto não pode ser mantido disponível no processo.
2 - ( ) Normas não precisam ser controladas.
3 - ( ) Se o profissional de uma área levar em torno de 10 segundos para pegar um
documento, podemos dizer que o documento estava disponível.
4 - ( ) Um procedimento necessita de 3 assinaturas para indicar elaboração,
revisão e aprovação.
5 - ( ) Instruções de trabalho da produção precisam ficar na produção.
6 - ( ) A organização deve estabelecer um procedimento para controle de
documentos, mas ele não precisa ser documentado.
Resposta
1 - ( F ) Um documento obsoleto não pode ser mantido disponível no processo.
(é necessário que a documentação esteja claramente identificada)
2 - ( F ) Normas não precisam ser controladas.
(normas são documentos externos, e quando uma nova versão é emitida a versão anterior deve
ser recolhida)
3 - ( V ) Se o profissional de uma área levar em torno de 10 segundos para pegar um
documento, podemos dizer que o documento estava disponível.
(10 segundos é muito rápido, um documento não está disponível quando o profissional da área
não consegue localizá-lo)
4 - ( F ) Um procedimento necessita de 3 assinaturas para indicar elaboração, revisão e
aprovação.
(documentos devem ser elaborados, revisados e aprovados, mas pode ser um único profissional
a realizar todas estas atividades)
5 - ( V ) Instruções de trabalho da produção precisam ficar na produção.
(documentos devem ficar disponíveis nos locais de uso)
6 - ( F ) A organização deve estabelecer um procedimento para controle de documentos, mas
ele não precisa ser documentado.
(a norma exige um procedimento documentado)
4.3 – Requisitos de documentação
4.3.3 – Controle de registros
Registros devem ser estabelecidos e mantidos para prover
evidência da conformidade aos requisitos e da operação
eficaz do SGSI.
Devem ser considerados quaisquer registros referentes a
requisitos legais ou obrigações contratuais.
Registros devem ser legíveis e prontamente identificáveis e
recuperáveis.
Controles devem ser definidos, documentados e
implementados para: identificação, armazenamento,
proteção, recuperação, tempo de retenção e disposição.
Registros devem manter informações sobre o desempenho
dos processos e de ocorrências significativas relacionadas
ao SGSI.
Exemplo de registro: livros de visitantes, relatórios de
auditoria, formulários de autorização de acesso, etc.
Documentação do SGSI
Procedimentos
Instruções de
trabalho,
listas,
formulários
Registros
Manual de
segurança
Nível 1
Nível 2
Nível 3
Nível 4 Fornece evidência objetiva da
conformidade às exigências do SGSI,
cláusula 4.3.3
Descreve como as tarefas e
atividades específicas são feitas
Descreve processos,
quem, o que, quando e onde,
cláusula 4.1
Política,
escopo, avaliação
de risco, declaração
de aplicabilidade
Exercício
Para um registro de acesso determine:
Como ele pode ser identificado
Onde ele pode ser armazenado
Como se garante que está protegido
Como pode ser recuperado, por exemplo se for
necessário apresentá-lo ao cliente
Por quanto tempo fica retido (guardado)
Como é descartado
Resposta
Para um registro de acesso podemos usar os seguintes controles:
Identificação: normalmente é um livro numerado com as páginas numeradas
Armazenamento: na gaveta da recepção
Proteção: a gaveta da recepção
Recuperação: basta solicitar ao recepcionista
Tempo de retenção: um ano após o término do livro
Descarte: jogado no lixo comum
Interpretação das cláusulas
4.2 a 4.3.3 da NBR ISO/IEC 27001:2005
Fim do módulo 6

Mais conteúdo relacionado

Mais procurados

NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
Amanda Luz
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
Vanessa Lins
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
CompanyWeb
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
Fabio Martins
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
IsmaelFernandoRiboli
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
Adriano Martins Antonio
 
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCImplementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Abraão Sakelo
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
Cleber Fonseca
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
Cleber Fonseca
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos   questões cespe 01Gestão de segurança da informação para concursos   questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
Fernando Palma
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006
J Flávia Sales
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
marcos.santosrs
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Darly Goes
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
Didimax
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
Angélica Mancini
 

Mais procurados (20)

NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCImplementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPC
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos   questões cespe 01Gestão de segurança da informação para concursos   questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 

Destaque

Programa Iso 9000 Assespro
Programa Iso 9000 AssesproPrograma Iso 9000 Assespro
Programa Iso 9000 Assespro
Assespro Nacional
 
Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000
Diego Souza
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
Políticas de segurança TI
Políticas de segurança TIPolíticas de segurança TI
Políticas de segurança TI
Eberson Pereira
 
Iso20000 mod1
Iso20000 mod1Iso20000 mod1
Iso20000 mod1
Juliana Oliveira, ITIL
 
Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001
Fernando Palma
 

Destaque (6)

Programa Iso 9000 Assespro
Programa Iso 9000 AssesproPrograma Iso 9000 Assespro
Programa Iso 9000 Assespro
 
Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
Políticas de segurança TI
Políticas de segurança TIPolíticas de segurança TI
Políticas de segurança TI
 
Iso20000 mod1
Iso20000 mod1Iso20000 mod1
Iso20000 mod1
 
Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001
 

Semelhante a ISO 27001 -6

Aprender com facilidade as regras ISO 14001
Aprender com facilidade as regras ISO 14001Aprender com facilidade as regras ISO 14001
Aprender com facilidade as regras ISO 14001
VladmirNakiti
 
Modulo 2 - Execução de programas e projectos do desporto (GPPD)
Modulo 2 - Execução de programas e projectos do desporto (GPPD)Modulo 2 - Execução de programas e projectos do desporto (GPPD)
Modulo 2 - Execução de programas e projectos do desporto (GPPD)
Ana Marques
 
Revisão geral ISO 9001
Revisão geral ISO 9001Revisão geral ISO 9001
Revisão geral ISO 9001
Rogério Souza
 
Auditoria iso 9001
Auditoria iso 9001Auditoria iso 9001
Auditoria iso 9001
Valeria Carneiro
 
Auditoria iso 90011
Auditoria iso 90011Auditoria iso 90011
Auditoria iso 90011
Valeria Carneiro
 
Modulo 3 -Análise, Controle e Performance de processos
Modulo 3 -Análise, Controle e Performance de processosModulo 3 -Análise, Controle e Performance de processos
Modulo 3 -Análise, Controle e Performance de processos
Tsiane Poppe Araujo
 
Aula 04 auditoria e monitoramento
Aula 04 auditoria e monitoramentoAula 04 auditoria e monitoramento
Aula 04 auditoria e monitoramento
Tatiana Falcão
 
Dicas de Padronização de Processos
Dicas de Padronização de ProcessosDicas de Padronização de Processos
Dicas de Padronização de Processos
Gerisval Pessoa
 
4.5.5 auditoria interna
4.5.5 auditoria interna4.5.5 auditoria interna
4.5.5 auditoria interna
Samantha Kathryn Soares Medeiros
 
Norma 2015
Norma 2015Norma 2015
Norma 2015
Divanil Macedo
 
Aula 05 SGQ ISO 9001:2015 – Seções 6 e 7
Aula 05 SGQ ISO 9001:2015 – Seções 6 e 7Aula 05 SGQ ISO 9001:2015 – Seções 6 e 7
Aula 05 SGQ ISO 9001:2015 – Seções 6 e 7
Claudio Bernardi Stringari
 
ISO9001
ISO9001ISO9001
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
Aldson Diego
 
Auditoria iso 9001
Auditoria iso 9001Auditoria iso 9001
Auditoria iso 9001
José Alberto Bezerra da Silva
 
Treinamento Coso ICF 2013
Treinamento Coso ICF 2013Treinamento Coso ICF 2013
Treinamento Coso ICF 2013
Alexandre Nogueira
 
AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕESAUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Adriano Pereira
 
Visao Geral - PALESTRA ISO 9001 EJRos.pptx
Visao Geral - PALESTRA ISO 9001 EJRos.pptxVisao Geral - PALESTRA ISO 9001 EJRos.pptx
Visao Geral - PALESTRA ISO 9001 EJRos.pptx
Antônio Lino
 
Indicadores de Resultados - Oficina MEG na Prática
Indicadores de Resultados - Oficina MEG na PráticaIndicadores de Resultados - Oficina MEG na Prática
Indicadores de Resultados - Oficina MEG na Prática
Michelle Raimundo dos Santos
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
Catia Marques
 
Guiacorporativo.com.br o que é auditoria
Guiacorporativo.com.br o que é auditoriaGuiacorporativo.com.br o que é auditoria
Guiacorporativo.com.br o que é auditoria
Rodilson Silva - Green Belt
 

Semelhante a ISO 27001 -6 (20)

Aprender com facilidade as regras ISO 14001
Aprender com facilidade as regras ISO 14001Aprender com facilidade as regras ISO 14001
Aprender com facilidade as regras ISO 14001
 
Modulo 2 - Execução de programas e projectos do desporto (GPPD)
Modulo 2 - Execução de programas e projectos do desporto (GPPD)Modulo 2 - Execução de programas e projectos do desporto (GPPD)
Modulo 2 - Execução de programas e projectos do desporto (GPPD)
 
Revisão geral ISO 9001
Revisão geral ISO 9001Revisão geral ISO 9001
Revisão geral ISO 9001
 
Auditoria iso 9001
Auditoria iso 9001Auditoria iso 9001
Auditoria iso 9001
 
Auditoria iso 90011
Auditoria iso 90011Auditoria iso 90011
Auditoria iso 90011
 
Modulo 3 -Análise, Controle e Performance de processos
Modulo 3 -Análise, Controle e Performance de processosModulo 3 -Análise, Controle e Performance de processos
Modulo 3 -Análise, Controle e Performance de processos
 
Aula 04 auditoria e monitoramento
Aula 04 auditoria e monitoramentoAula 04 auditoria e monitoramento
Aula 04 auditoria e monitoramento
 
Dicas de Padronização de Processos
Dicas de Padronização de ProcessosDicas de Padronização de Processos
Dicas de Padronização de Processos
 
4.5.5 auditoria interna
4.5.5 auditoria interna4.5.5 auditoria interna
4.5.5 auditoria interna
 
Norma 2015
Norma 2015Norma 2015
Norma 2015
 
Aula 05 SGQ ISO 9001:2015 – Seções 6 e 7
Aula 05 SGQ ISO 9001:2015 – Seções 6 e 7Aula 05 SGQ ISO 9001:2015 – Seções 6 e 7
Aula 05 SGQ ISO 9001:2015 – Seções 6 e 7
 
ISO9001
ISO9001ISO9001
ISO9001
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Auditoria iso 9001
Auditoria iso 9001Auditoria iso 9001
Auditoria iso 9001
 
Treinamento Coso ICF 2013
Treinamento Coso ICF 2013Treinamento Coso ICF 2013
Treinamento Coso ICF 2013
 
AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕESAUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
 
Visao Geral - PALESTRA ISO 9001 EJRos.pptx
Visao Geral - PALESTRA ISO 9001 EJRos.pptxVisao Geral - PALESTRA ISO 9001 EJRos.pptx
Visao Geral - PALESTRA ISO 9001 EJRos.pptx
 
Indicadores de Resultados - Oficina MEG na Prática
Indicadores de Resultados - Oficina MEG na PráticaIndicadores de Resultados - Oficina MEG na Prática
Indicadores de Resultados - Oficina MEG na Prática
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Guiacorporativo.com.br o que é auditoria
Guiacorporativo.com.br o que é auditoriaGuiacorporativo.com.br o que é auditoria
Guiacorporativo.com.br o que é auditoria
 

Mais de jcfarit

Conceptos basicos de telefonia
Conceptos basicos de telefoniaConceptos basicos de telefonia
Conceptos basicos de telefonia
jcfarit
 
Manual de usuario Ruani
Manual de usuario RuaniManual de usuario Ruani
Manual de usuario Ruani
jcfarit
 
Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linux
jcfarit
 
Arquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo LinuxArquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo Linux
jcfarit
 
Linq to sql 9
Linq to sql 9Linq to sql 9
Linq to sql 9
jcfarit
 
Linq to sql 8
Linq to sql 8Linq to sql 8
Linq to sql 8
jcfarit
 
Linq to sql 7
Linq to sql 7Linq to sql 7
Linq to sql 7
jcfarit
 
Linq to sql 6
Linq to sql 6Linq to sql 6
Linq to sql 6
jcfarit
 
Linq to sql 5
Linq to sql 5Linq to sql 5
Linq to sql 5
jcfarit
 
Linq to sql 4
Linq to sql 4Linq to sql 4
Linq to sql 4
jcfarit
 
Linq to sql 3
Linq to sql 3Linq to sql 3
Linq to sql 3
jcfarit
 
Linq to sql 2
Linq to sql 2Linq to sql 2
Linq to sql 2
jcfarit
 
Ejemplo Linq To SQL
Ejemplo Linq To SQLEjemplo Linq To SQL
Ejemplo Linq To SQL
jcfarit
 
Curso ubuntuimprimible
Curso ubuntuimprimibleCurso ubuntuimprimible
Curso ubuntuimprimible
jcfarit
 
Curso ubuntu1extraimprimible
Curso ubuntu1extraimprimibleCurso ubuntu1extraimprimible
Curso ubuntu1extraimprimible
jcfarit
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digital
jcfarit
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switches
jcfarit
 
Arquitectura multi agente.doc
Arquitectura multi agente.docArquitectura multi agente.doc
Arquitectura multi agente.doc
jcfarit
 
Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicos
jcfarit
 
Análisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónicoAnálisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónico
jcfarit
 

Mais de jcfarit (20)

Conceptos basicos de telefonia
Conceptos basicos de telefoniaConceptos basicos de telefonia
Conceptos basicos de telefonia
 
Manual de usuario Ruani
Manual de usuario RuaniManual de usuario Ruani
Manual de usuario Ruani
 
Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linux
 
Arquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo LinuxArquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo Linux
 
Linq to sql 9
Linq to sql 9Linq to sql 9
Linq to sql 9
 
Linq to sql 8
Linq to sql 8Linq to sql 8
Linq to sql 8
 
Linq to sql 7
Linq to sql 7Linq to sql 7
Linq to sql 7
 
Linq to sql 6
Linq to sql 6Linq to sql 6
Linq to sql 6
 
Linq to sql 5
Linq to sql 5Linq to sql 5
Linq to sql 5
 
Linq to sql 4
Linq to sql 4Linq to sql 4
Linq to sql 4
 
Linq to sql 3
Linq to sql 3Linq to sql 3
Linq to sql 3
 
Linq to sql 2
Linq to sql 2Linq to sql 2
Linq to sql 2
 
Ejemplo Linq To SQL
Ejemplo Linq To SQLEjemplo Linq To SQL
Ejemplo Linq To SQL
 
Curso ubuntuimprimible
Curso ubuntuimprimibleCurso ubuntuimprimible
Curso ubuntuimprimible
 
Curso ubuntu1extraimprimible
Curso ubuntu1extraimprimibleCurso ubuntu1extraimprimible
Curso ubuntu1extraimprimible
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digital
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switches
 
Arquitectura multi agente.doc
Arquitectura multi agente.docArquitectura multi agente.doc
Arquitectura multi agente.doc
 
Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicos
 
Análisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónicoAnálisis de los sistemas de dinero electrónico
Análisis de los sistemas de dinero electrónico
 

Último

Fato X Opinião (Língua Portuguesa 9º Ano).pptx
Fato X Opinião (Língua Portuguesa 9º Ano).pptxFato X Opinião (Língua Portuguesa 9º Ano).pptx
Fato X Opinião (Língua Portuguesa 9º Ano).pptx
MariaFatima425285
 
Atividades de Inglês e Espanhol para Imprimir - Alfabetinho
Atividades de Inglês e Espanhol para Imprimir - AlfabetinhoAtividades de Inglês e Espanhol para Imprimir - Alfabetinho
Atividades de Inglês e Espanhol para Imprimir - Alfabetinho
MateusTavares54
 
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdfCaderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
enpfilosofiaufu
 
Pintura Romana .pptx
Pintura Romana                     .pptxPintura Romana                     .pptx
Pintura Romana .pptx
TomasSousa7
 
Famílias Que Contribuíram Para O Crescimento Do Assaré
Famílias Que Contribuíram Para O Crescimento Do AssaréFamílias Que Contribuíram Para O Crescimento Do Assaré
Famílias Que Contribuíram Para O Crescimento Do Assaré
profesfrancleite
 
PowerPoint Newton gostava de Ler - Saber em Gel.pdf
PowerPoint Newton gostava de Ler - Saber em Gel.pdfPowerPoint Newton gostava de Ler - Saber em Gel.pdf
PowerPoint Newton gostava de Ler - Saber em Gel.pdf
1000a
 
Aula 2 - 6º HIS - Formas de registro da história e da produção do conheciment...
Aula 2 - 6º HIS - Formas de registro da história e da produção do conheciment...Aula 2 - 6º HIS - Formas de registro da história e da produção do conheciment...
Aula 2 - 6º HIS - Formas de registro da história e da produção do conheciment...
Luana Neres
 
Caça-palavras ortografia M antes de P e B.
Caça-palavras    ortografia M antes de P e B.Caça-palavras    ortografia M antes de P e B.
Caça-palavras ortografia M antes de P e B.
Mary Alvarenga
 
Arundhati Roy - O Deus das Pequenas Coisas - ÍNDIA.pdf
Arundhati Roy - O Deus das Pequenas Coisas - ÍNDIA.pdfArundhati Roy - O Deus das Pequenas Coisas - ÍNDIA.pdf
Arundhati Roy - O Deus das Pequenas Coisas - ÍNDIA.pdf
Ana Da Silva Ponce
 
05-os-pre-socraticos sociologia-28-slides.pptx
05-os-pre-socraticos sociologia-28-slides.pptx05-os-pre-socraticos sociologia-28-slides.pptx
05-os-pre-socraticos sociologia-28-slides.pptx
ValdineyRodriguesBez1
 
BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...
BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...
BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...
Escola Municipal Jesus Cristo
 
Especialidade - Animais Ameaçados de Extinção(1).pdf
Especialidade - Animais Ameaçados de Extinção(1).pdfEspecialidade - Animais Ameaçados de Extinção(1).pdf
Especialidade - Animais Ameaçados de Extinção(1).pdf
DanielCastro80471
 
Química orgânica e as funções organicas.pptx
Química orgânica e as funções organicas.pptxQuímica orgânica e as funções organicas.pptx
Química orgânica e as funções organicas.pptx
KeilianeOliveira3
 
Sócrates e os sofistas - apresentação de slides
Sócrates e os sofistas - apresentação de slidesSócrates e os sofistas - apresentação de slides
Sócrates e os sofistas - apresentação de slides
jbellas2
 
UFCD_8298_Cozinha criativa_índice do manual
UFCD_8298_Cozinha criativa_índice do manualUFCD_8298_Cozinha criativa_índice do manual
UFCD_8298_Cozinha criativa_índice do manual
Manuais Formação
 
Sinais de pontuação
Sinais de pontuaçãoSinais de pontuação
Sinais de pontuação
Mary Alvarenga
 
LIBRO LAS MANOS NO SON PARA PEGAR-MAESTRA EN PREESCOLAR_organized_rotated (1)...
LIBRO LAS MANOS NO SON PARA PEGAR-MAESTRA EN PREESCOLAR_organized_rotated (1)...LIBRO LAS MANOS NO SON PARA PEGAR-MAESTRA EN PREESCOLAR_organized_rotated (1)...
LIBRO LAS MANOS NO SON PARA PEGAR-MAESTRA EN PREESCOLAR_organized_rotated (1)...
ssuser701e2b
 
- TEMPLATE DA PRATICA - Psicomotricidade.pptx
- TEMPLATE DA PRATICA - Psicomotricidade.pptx- TEMPLATE DA PRATICA - Psicomotricidade.pptx
- TEMPLATE DA PRATICA - Psicomotricidade.pptx
LucianaCristina58
 
UFCD_10949_Lojas e-commerce no-code_índice.pdf
UFCD_10949_Lojas e-commerce no-code_índice.pdfUFCD_10949_Lojas e-commerce no-code_índice.pdf
UFCD_10949_Lojas e-commerce no-code_índice.pdf
Manuais Formação
 
Aula 3- 6º HIS - As origens da humanidade, seus deslocamentos e os processos ...
Aula 3- 6º HIS - As origens da humanidade, seus deslocamentos e os processos ...Aula 3- 6º HIS - As origens da humanidade, seus deslocamentos e os processos ...
Aula 3- 6º HIS - As origens da humanidade, seus deslocamentos e os processos ...
Luana Neres
 

Último (20)

Fato X Opinião (Língua Portuguesa 9º Ano).pptx
Fato X Opinião (Língua Portuguesa 9º Ano).pptxFato X Opinião (Língua Portuguesa 9º Ano).pptx
Fato X Opinião (Língua Portuguesa 9º Ano).pptx
 
Atividades de Inglês e Espanhol para Imprimir - Alfabetinho
Atividades de Inglês e Espanhol para Imprimir - AlfabetinhoAtividades de Inglês e Espanhol para Imprimir - Alfabetinho
Atividades de Inglês e Espanhol para Imprimir - Alfabetinho
 
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdfCaderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
 
Pintura Romana .pptx
Pintura Romana                     .pptxPintura Romana                     .pptx
Pintura Romana .pptx
 
Famílias Que Contribuíram Para O Crescimento Do Assaré
Famílias Que Contribuíram Para O Crescimento Do AssaréFamílias Que Contribuíram Para O Crescimento Do Assaré
Famílias Que Contribuíram Para O Crescimento Do Assaré
 
PowerPoint Newton gostava de Ler - Saber em Gel.pdf
PowerPoint Newton gostava de Ler - Saber em Gel.pdfPowerPoint Newton gostava de Ler - Saber em Gel.pdf
PowerPoint Newton gostava de Ler - Saber em Gel.pdf
 
Aula 2 - 6º HIS - Formas de registro da história e da produção do conheciment...
Aula 2 - 6º HIS - Formas de registro da história e da produção do conheciment...Aula 2 - 6º HIS - Formas de registro da história e da produção do conheciment...
Aula 2 - 6º HIS - Formas de registro da história e da produção do conheciment...
 
Caça-palavras ortografia M antes de P e B.
Caça-palavras    ortografia M antes de P e B.Caça-palavras    ortografia M antes de P e B.
Caça-palavras ortografia M antes de P e B.
 
Arundhati Roy - O Deus das Pequenas Coisas - ÍNDIA.pdf
Arundhati Roy - O Deus das Pequenas Coisas - ÍNDIA.pdfArundhati Roy - O Deus das Pequenas Coisas - ÍNDIA.pdf
Arundhati Roy - O Deus das Pequenas Coisas - ÍNDIA.pdf
 
05-os-pre-socraticos sociologia-28-slides.pptx
05-os-pre-socraticos sociologia-28-slides.pptx05-os-pre-socraticos sociologia-28-slides.pptx
05-os-pre-socraticos sociologia-28-slides.pptx
 
BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...
BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...
BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...
 
Especialidade - Animais Ameaçados de Extinção(1).pdf
Especialidade - Animais Ameaçados de Extinção(1).pdfEspecialidade - Animais Ameaçados de Extinção(1).pdf
Especialidade - Animais Ameaçados de Extinção(1).pdf
 
Química orgânica e as funções organicas.pptx
Química orgânica e as funções organicas.pptxQuímica orgânica e as funções organicas.pptx
Química orgânica e as funções organicas.pptx
 
Sócrates e os sofistas - apresentação de slides
Sócrates e os sofistas - apresentação de slidesSócrates e os sofistas - apresentação de slides
Sócrates e os sofistas - apresentação de slides
 
UFCD_8298_Cozinha criativa_índice do manual
UFCD_8298_Cozinha criativa_índice do manualUFCD_8298_Cozinha criativa_índice do manual
UFCD_8298_Cozinha criativa_índice do manual
 
Sinais de pontuação
Sinais de pontuaçãoSinais de pontuação
Sinais de pontuação
 
LIBRO LAS MANOS NO SON PARA PEGAR-MAESTRA EN PREESCOLAR_organized_rotated (1)...
LIBRO LAS MANOS NO SON PARA PEGAR-MAESTRA EN PREESCOLAR_organized_rotated (1)...LIBRO LAS MANOS NO SON PARA PEGAR-MAESTRA EN PREESCOLAR_organized_rotated (1)...
LIBRO LAS MANOS NO SON PARA PEGAR-MAESTRA EN PREESCOLAR_organized_rotated (1)...
 
- TEMPLATE DA PRATICA - Psicomotricidade.pptx
- TEMPLATE DA PRATICA - Psicomotricidade.pptx- TEMPLATE DA PRATICA - Psicomotricidade.pptx
- TEMPLATE DA PRATICA - Psicomotricidade.pptx
 
UFCD_10949_Lojas e-commerce no-code_índice.pdf
UFCD_10949_Lojas e-commerce no-code_índice.pdfUFCD_10949_Lojas e-commerce no-code_índice.pdf
UFCD_10949_Lojas e-commerce no-code_índice.pdf
 
Aula 3- 6º HIS - As origens da humanidade, seus deslocamentos e os processos ...
Aula 3- 6º HIS - As origens da humanidade, seus deslocamentos e os processos ...Aula 3- 6º HIS - As origens da humanidade, seus deslocamentos e os processos ...
Aula 3- 6º HIS - As origens da humanidade, seus deslocamentos e os processos ...
 

ISO 27001 -6

  • 1. Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning Sistema de Gestão de Segurança da Informação
  • 2. Módulo 6 Interpretação das cláusulas 4.2 a 4.3.3 da NBR ISO/IEC 27001:2005
  • 3. Estrutura da Norma NBR ISO/IEC 27001:2006 Sistema de Gestão da SI Melhoria Contínua Responsabilidade da direção Auditorias internas Melhoria do SGSI Análise crítica do SGSI pela direção Entradas Saídas 4 6 7 8 5 REQUISITOS SEGURANÇADA INFORMAÇÃO
  • 4. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI A organização deve: a) Executar procedimentos de monitoração, análise crítica e outros controles para: Prontamente detectar erros nos resultados de processamentos Prontamente identificar tentativas e violações de segurança bem sucedidas, e incidentes de segurança da informação Permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado Ajudar a detectar eventos de segurança da informação e assim prevenir incidentes pelo uso de indicadores Determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes. b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas.
  • 5. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI Exemplo de análise de dados utilizando o diagrama de Pareto: Durante a realização do produto ou do serviço, podemos documentar as não- conformidades identificadas (por tipo de NC, por exemplo) e construir uma tabela para determinado período. Com estas informações poderemos construir o diagrama de Pareto como você poderá observar no próximo slide.
  • 6. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI O diagrama de Pareto é uma forma visual para percebermos melhor o impacto de cada problema no processo, e decidir qual não- conformidade vamos tratar, isto é, pesquisar as possíveis causas desta não- conformidade e definir ações para eliminá-las, evitando sua repetição. Exemplo de análise de dados utilizando o diagrama de Pareto:
  • 7. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI A organização deve: c) Medir a eficácia dos controles para verificar se os requisitos de SI estão sendo atingidos. d) Revisar as análises/avaliações de risco a intervalos planejados e analisar criticamente os riscos residuais e os níveis de risco aceitáveis identificados, levando em consideração mudanças relativas a: 1) Organização 2) Tecnologias 3) Objetivos e processos do negócio 4) Ameaças identificadas 5) Eficácia dos controles implementados 6) Eventos externos, tais como mudanças nos ambientes legais ou regulamentares, alterações das obrigações contratuais e mudanças na conjuntura social Sempre que uma mudança ocorre, poderemos ter alteração dos ativos, das ameaças e das vulnerabilidades, e portanto dos riscos.
  • 8. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI A organização deve: e) Conduzir auditorias internas a intervalos planejados. Existem auditorias de primeira parte (internas), de segunda parte (realizadas pelos clientes na organização ou pela organização em seus fornecedores) e de terceira parte (realizadas por organismos independentes como por exemplo uma certificadora). f) Realizar análises críticas do SGSI pela direção em períodos regulares, para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI. Estas análises críticas são reuniões com a direção onde diversos temas são discutidos sobre o desempenho do sistema de gestão. A ISO 27001 especifica os temas mínimos a serem discutidos, e diz que como saída deve haver um plano de ação definido. g) Atualizar planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica. h) Registrar ações e eventos que poderiam ter impacto no desempenho ou na eficácia do SGSI.
  • 9. 4.2 – Estabelecendo e gerenciando o SGSI/ 4.2.4 – Manter e melhorar o SGSI A organização deve regularmente: a) Implementar as melhorias identificadas para o SGSI. b) Realizar ações corretivas e preventivas apropriadas, e aplicar lições aprendidas com a experiência da própria organização ou de outras. c) Comunicar as ações e melhorias para as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder. d) Garantir que as melhorias atingem os objetivos determinados.
  • 10. Exercício Indique se é verdadeiro ou falso: 1) ( ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os níveis de risco aceitáveis devido a alterações na organização é um procedimento obrigatório. 2) ( ) As partes interessadas não necessitam ser obrigatoriamente informadas das melhorias implementadas no SGSI. 3) ( ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente. 4) ( ) Indicadores não são uma boa maneira de prevenir incidentes de segurança. 5) ( ) Os planos de segurança da informação devem ser anualmente atualizados para levar em consideração os resultados das atividades de monitoramento e análise crítica. 6) ( ) A organização deve identificar tentativas e violações de segurança bem sucedidas e incidentes de segurança da informação quando da análise dos relatórios de monitoramento. 7) ( ) Implementar programas de conscientização e treinamento é requisito obrigatório e deve incluir todas as pessoas da organização. 8) ( ) Plano é um documento que diz o que será feito, porque, como, quando, por quem e onde, também conhecido em inglês como 5W1H. 9) ( ) A organização precisa apenas implementar os controles selecionados para atender aos objetivos de controle. Não é necessário que todos os controles indicados pela ISO 27001 sejam implementados.
  • 11. Respostas Indique se é verdadeiro ou falso: 1) ( V ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os níveis de risco aceitáveis devido a alterações na organização é um procedimento obrigatório. 2) ( F ) As partes interessadas não necessitam ser obrigatoriamente informadas das melhorias implementadas no SGSI. 3) ( F ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente. (devem ser realizadas a intervalos planejados) 4) ( F ) Indicadores não são uma boa maneira de prevenir incidentes de segurança. (indicadores mostram as tendências, portanto orientam aumento ou redução de ocorrências, o que permite ações para prevenir incidentes) 5) ( F ) Os planos de segurança da informação devem ser anualmente atualizados para levar em consideração os resultados das atividades de monitoramento e análise crítica. (devem ser atualizados sempre que necessário)
  • 12. Respostas 6) ( F ) A organização deve identificar tentativas e violações de segurança bem sucedidas e incidentes de segurança da informação quando da análise dos relatórios de monitoramento. (a organização deve prontamente identificar tentativas de violação e incidentes) 7) ( F ) Implementar programas de conscientização e treinamento é requisito obrigatório e deve incluir todas as pessoas da organização. (deve incluir obrigatoriamente as pessoas que têm responsabilidades atribuídas dentro do SGSI) 8) ( V ) Plano é um documento que diz o que será feito, porque, como, quando, por quem e onde, também conhecido em inglês como 5W1H. 9) ( V ) A organização precisa apenas implementar os controles selecionados para atender aos objetivos de controle. Não é necessário que todos os controles indicados pela ISO 27001 sejam implementados. (mas na declaração de aplicabilidade deve ser justificado quando um controle do Anexo A não for utilizado)
  • 13. Estrutura da Norma NBR ISO/IEC 27001:2006 Sistema de Gestão da SI Melhoria Contínua Responsabilidade da direção Auditorias internas Melhoria do SGSI Análise crítica do SGSI pela direção Entradas Saídas 4 6 7 8 5 REQUISITOS SEGURANÇADA INFORMAÇÃO
  • 14. 4.3 – Requisitos de documentação 4.3.1 – Geral A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis. As reuniões de análise crítica do sistema devem ser documentadas e o monitoramento deve ser registrado. É importante que se possa demonstrar a relação dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos, e conseqüentemente com a política e objetivos do SGSI. Quando elaboramos a matriz de riscos já podemos indicar os controles e procedimentos relacionados. Isto facilita a demonstração dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos.
  • 15. Extensão da documentação do SGSI Abrangência e detalhes da documentação depende de: Tamanho e tipo da empresa Complexidade dos serviços, produtos e processos Requisitos de clientes e regulamentaresCódigos e normas da indústria Educação, experiência e treinamento Estabilidade da força de trabalho Problemas de segurança no passado
  • 16. 4.3 – Requisitos de documentação 4.3.1 – Geral A documentação deve incluir: a) Declarações documentadas das políticas e dos objetivos do SGSI b) O escopo do SGSI c) Procedimentos e controles que apóiam o SGSI d) Uma descrição da metodologia de análise/avaliação de riscos f) O relatório de análise/avaliação de riscos g) O plano de tratamento de riscos h) Procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança da informação, e para descrever como medir a eficácia dos controles i) Registros requeridos pela norma j) A declaração de aplicabilidade A documentação deve variar devido ao tamanho da organização, tipo de atividades, escopo e complexidade dos requisitos de segurança e do sistema gerenciado. Quando a norma cita apenas a palavra “procedimento” significa que o procedimento não precisa ser documentado. Se a norma disser “procedimento documentado” significa que o procedimento realmente precisa ser documentado.
  • 17. 4.3 – Requisitos de documentação 4.3.2 – Controle de documentos Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para: Aprovar documentos para adequação antes de sua emissão Analisar criticamente e atualizar,quando necessário, e reaprovar documentos Assegurar que as alterações e a situação da revisão atual dos documentos sejam identificadas Assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso Assegurar que os documentos permaneçam legíveis e prontamente identificáveis Assegurar que os documentos estejam disponíveis àqueles que deles precisam e sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação Assegurar que documentos de origem externa sejam identificados Assegurar que a distribuição de documentos seja controlada Prevenir o uso não intencional de documentos obsoletos Aplicar identificação adequada nos casos em que sejam retidos para qualquer propósito
  • 18. Exercício Indique se é verdadeiro ou falso: 1 - ( ) Um documento obsoleto não pode ser mantido disponível no processo. 2 - ( ) Normas não precisam ser controladas. 3 - ( ) Se o profissional de uma área levar em torno de 10 segundos para pegar um documento, podemos dizer que o documento estava disponível. 4 - ( ) Um procedimento necessita de 3 assinaturas para indicar elaboração, revisão e aprovação. 5 - ( ) Instruções de trabalho da produção precisam ficar na produção. 6 - ( ) A organização deve estabelecer um procedimento para controle de documentos, mas ele não precisa ser documentado.
  • 19. Resposta 1 - ( F ) Um documento obsoleto não pode ser mantido disponível no processo. (é necessário que a documentação esteja claramente identificada) 2 - ( F ) Normas não precisam ser controladas. (normas são documentos externos, e quando uma nova versão é emitida a versão anterior deve ser recolhida) 3 - ( V ) Se o profissional de uma área levar em torno de 10 segundos para pegar um documento, podemos dizer que o documento estava disponível. (10 segundos é muito rápido, um documento não está disponível quando o profissional da área não consegue localizá-lo) 4 - ( F ) Um procedimento necessita de 3 assinaturas para indicar elaboração, revisão e aprovação. (documentos devem ser elaborados, revisados e aprovados, mas pode ser um único profissional a realizar todas estas atividades) 5 - ( V ) Instruções de trabalho da produção precisam ficar na produção. (documentos devem ficar disponíveis nos locais de uso) 6 - ( F ) A organização deve estabelecer um procedimento para controle de documentos, mas ele não precisa ser documentado. (a norma exige um procedimento documentado)
  • 20. 4.3 – Requisitos de documentação 4.3.3 – Controle de registros Registros devem ser estabelecidos e mantidos para prover evidência da conformidade aos requisitos e da operação eficaz do SGSI. Devem ser considerados quaisquer registros referentes a requisitos legais ou obrigações contratuais. Registros devem ser legíveis e prontamente identificáveis e recuperáveis. Controles devem ser definidos, documentados e implementados para: identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição. Registros devem manter informações sobre o desempenho dos processos e de ocorrências significativas relacionadas ao SGSI. Exemplo de registro: livros de visitantes, relatórios de auditoria, formulários de autorização de acesso, etc.
  • 21. Documentação do SGSI Procedimentos Instruções de trabalho, listas, formulários Registros Manual de segurança Nível 1 Nível 2 Nível 3 Nível 4 Fornece evidência objetiva da conformidade às exigências do SGSI, cláusula 4.3.3 Descreve como as tarefas e atividades específicas são feitas Descreve processos, quem, o que, quando e onde, cláusula 4.1 Política, escopo, avaliação de risco, declaração de aplicabilidade
  • 22. Exercício Para um registro de acesso determine: Como ele pode ser identificado Onde ele pode ser armazenado Como se garante que está protegido Como pode ser recuperado, por exemplo se for necessário apresentá-lo ao cliente Por quanto tempo fica retido (guardado) Como é descartado
  • 23. Resposta Para um registro de acesso podemos usar os seguintes controles: Identificação: normalmente é um livro numerado com as páginas numeradas Armazenamento: na gaveta da recepção Proteção: a gaveta da recepção Recuperação: basta solicitar ao recepcionista Tempo de retenção: um ano após o término do livro Descarte: jogado no lixo comum
  • 24. Interpretação das cláusulas 4.2 a 4.3.3 da NBR ISO/IEC 27001:2005 Fim do módulo 6